Un enorme ataque de «ransomware» secuestra 32.000 servidores de MongoDB

Esta compañía de base de datos, que utilizan gobiernos y empresas de la talla de Telefónica o eBay, ha sido atacada por un grupo de ciberdelincuentes que exige el pago del rescate en bitcoins para que sus víctimas puedan recuperar la información

Imagen de un ataque «ransomware» AFP PHOTO / DAMIEN MEYER

A. MARTÍNEZ

10/01/2017
Actualizado 25/09/2017 a las 09:21h.

Si hay algo en lo que los expertos en seguridad informática se han puesto de acuerdo a la hora de incluirlo como una de las mayores amenazas es en el « ransomware ». Ha sido el mayor problema de ciberseguridad de 2016 , tanto ... para las empresas como para los consumidores y, en 2017, su epidemia continuará extendiéndose. Tanto que las compañías y los usuarios tienen que tomar medidas para poner a raya esta amenaza con la que los ciberdelincuentes cifran los datos del dispositivo (ordenador, « smartphone »...) y exigen a la víctima el pago de un rescate para su restauración .

Esto es justo lo que le ha pasado a MongoDB , una compañía de base de datos que utilizan empresas como Amazon , Telefónica , eBay o gobiernos , que ha estrenado 2017 siendo víctima del «malware» más dañino de los últimos tiempos.

Ahora, la información que han guardado todas esas grandes compañías está en peligro después de que MongoDB haya recibido varios ataques «ransomware», de tal manera que 32.000 de sus servidores se han visto afectados . «Los criminales acceden, copian y eliminan las bases de datos», relata « TheRegister ». De esta manera, toda la información que este sistema gratuito almacena desaparece y, para recuperarla, los ciberdelincuentes exigen el pago de un rescate.

El autor de este ataque es « Harak1r1 », un grupo que exige el pago de 0,2 bitcoins (unos 174 euros) a sus víctimas. Algunas de ellas, según «TheRegister», han pagado.

Victor Gevers y Niall Merrigan son los investigadores que están analizando este ataque que se ha llevado a cabo durante varios días y cuyos datos están recopilando en una hoja de Google Docs .

First time #mongodb ransomed db name passes out system db name in the stats. Estimated 32K servers now.. Data point @shodanhq 20H00 pic.twitter.com/LhtoqXrn8t
— Niall Merrigan (@nmerrigan) 10 de enero de 2017

Todo empezó el pasado 27 de diciembre cuando Gevers detectó el primer caso. Los ataques continuaron durante los siguientes días y el rescate exigido subió a 1 bitcoin, es decir, unos 850 euros . Aunque los expertos recomiendan no acceder al chantaje, puesto que nunca se sabe si los ciberdelincuentes cumplirán con su palabra, la relación de todos los pagos se está recogiendo en esta lista de Blockchain Info .

El problema es que a nadie sorprende este «hackeo» a MongoDB, que ha reconocido el ataque, cuya falta de seguridad era un secreto a voces.

Las empresas, objetivo del «ransomware»

Según un reciente estudio publicado el pasado mes de diciembre de Trend Micro , compañía especializada en seguridad informática, más del 40% de las empresas de toda Europa ha sido infectado por ataques de «ransomware» en los últimos 24 meses y los cibercriminales entran en los servidores de las empresas, tal y como ha sucedido con MongoDB, que tiene sedes en Europa, EE.UU., Australia o Canadá, entre otras.

Trend Micro insiste en la necesidad de realizar copias de seguridad y blindar los sistemas para mitigar posibles ataques en lugar de pagar rescates. Esto es aún más importante cuando tenemos en cuenta que el tiempo medio necesario para remediar el daño después de una infección es de 28 horas - un golpe significativo a la productividad y la eficiencia operativa.

«Recomendamos a los responsables de TI en las empresas que contemplen la estrategia de seguridad por capas , incluyendo filtrado del correo electrónico, protección para el servidor, así como la realización de copias de seguridad con frecuencia, segmentación de la red para minimizar la propagación de una infección por 'ransomware', y la aplicación de listas blancas que reduzcan aún más el riesgo», explica José Battat , director general de Trend Micro Iberia.